Entrevista:SEGURIDAD

'Diez años de retraso en la protección de las infraestructuras críticas'

23 jul 2009 - 07:00CEST

Raoul Chiesa, ex hacker italiano, es el jefe técnico en ciberseguridad del Instituto Interregional de Investigación sobre Crimen y Justicia (UNICRI) de la ONU. Chiesa investiga la seguridad de las infraestructuras críticas en el mundo y, según dice, pocas llegan al aprobado. "Las infraestructuras críticas y el mundo de la automatización industrial llevan 10 años de retraso en tecnologías de la información. No usan antivirus porque puede frenar la producción de los ordenadores. Eso no es un agujero de seguridad, sino ignorancia".

Pregunta. ¿Cuáles son los fallos?

Respuesta. No hay detectores de intrusos, registros, auditorías, no hay parches ni actualizaciones, se usan sistemas sin soporte, como W98, y configuraciones por defecto, no hay cifrado, no controlan los accesos remotos, no hay planes de recuperación ante desastres.

Más información

¿Quién cuida de la ciberseguridad española?

UNICRI:

P. ¿Qué es lo peor defendido?

R. Sorprende la inseguridad de países hi-tech como Corea del Sur y Japón. Por áreas económicas, las telecos. T-Mobile acaba de ser hackeada por enésima vez.

P. ¿Estamos en grave riesgo?

R. Se están viendo incidentes en servicios eléctricos, nucleares, gas, producción de petróleo y sistemas de transmisión; empresas de comunicaciones y TIC, bancos, hospitales, farmacéuticas, industria alimentaria, servicios del agua, transporte, fábricas de armas químicas, biológicas, radiológicas, nucleares, servicios de emergencia, gobiernos.

P. ¿Tanto?

R. El primer incidente conocido fue una explosión de tres kilotones en Siberia en 1982. El software de la petrolera tenía fallos y no soportó la presión: el petróleo explotó.

P. ¿Las redes militares están separadas de Internet?

R. ¿Cómo cree que el Ejército de EE UU en Irak se comunica con sus mandos? ¿O cómo hablan los soldados con sus familias? ¡Por voz IP! Las redes militares están en Internet. Son entornos grandes y se cometen errores, pero no instalan sus bases de datos críticas en la web.

P. ¿Han aumentado los ataques a infraestructuras críticas?

R. En el Ejército, sí. Hace años que el Gobierno chino empezó a atacar a EE UU, Reino Unido, Alemania, Italia... EE UU lo admite.

P. ¿Hay hackers trabajando con terroristas?

R. El ciberterrorismo es una mentira. No hemos visto aún a un terrorista lanzar ataques IT. Otra cosa es que se gasten billones en ello. EE UU destina 40 millones de dólares para la seguridad en TIC en 2010.